Cybersecurity/ISO.PAS 5112

(ISO/PAS 5112 5강) Audit도 ‘과정’이 중요하다!

알파미르 2025. 6. 16. 12:00

🔍 5강. Audit도 ‘과정’이 중요하다!

프로세스 흐름과 단계별 목표 완전 정복 🚦

안녕하세요~ 자동차 사이버보안 심사 준비생 여러분!
한 주도 보안과 함께 즐겁게 보내셨나요? 😊
오늘은 Audit의 진짜 핵심인 "흐름과 단계별 목적"을
밝고, 명랑하게, 실무감 있게~ 정리해보겠습니다!

🎯 오늘의 학습 목표

ISO/PAS 5112 기준의 Audit 전체 흐름 이해하기
각 단계에서 심사관이 중점적으로 보는 포인트 파악하기
조직에서 무엇을 어떻게 준비해야 하는지 감 잡기!

🛤️ Audit 흐름, 이렇게 흘러갑니다!

Audit은 단발 이벤트가 아니라,
계획 → 실행 → 보고 → 후속조치의 네 박자 루틴입니다! 🥁
이 흐름을 이해하면 심사 대응력이 쑥쑥! 올라가요!

1️⃣ 계획 (Planning)

심사는 준비된 조직에게 유리하다!

이 단계에서 하는 일은?

감사 목적과 범위 정의
관련 규격(UN R155, ISO/SAE 21434 등) 기준 명시
감사 팀 구성 및 역할 분배
감사 일정 및 활동 계획 수립

📌 실무 꿀팁!

범위를 모호하게 잡으면 심사 대상이 늘어나요 😱
OEM 요구사항, CSMS 문서 수준을 미리 확인해두세요!

2️⃣ 실행 (Conducting)

이제 진짜 감사가 시작된다! 🎤

실제로 하는 일은?

인터뷰(개발자, 책임자, 보안 담당 등)
문서 검토 (프로세스 문서, 로그, 결과 보고서 등)
현장 관찰 (예: 양산 시 Key Injection 과정 관찰)
샘플 점검 (모든 걸 보는 게 아니라 일부 샘플로 검토)

👀 심사관이 주로 묻는 질문 예시

"이 절차가 실제로 이렇게 수행되고 있나요?"
"이 교육은 정기적으로 이루어지나요?"
"이 공급사에서 받은 자료는 어떻게 검토하셨나요?"

📌 주의!

실무와 문서가 다른 경우 ‘프로세스 불일치’로 지적됩니다!

3️⃣ 보고 (Reporting)

“우리는 이런 걸 봤고, 이런 걸 발견했어요.”

이 단계에서 나오는 것?

비정상 항목(Non-conformity, NC) 목록
개선 권고 사항 (Observation)
모범 사례(Best Practice, 칭찬도 합니다!)

📋 보고서 핵심 구성 예시:

감사 목적/범위/팀 구성
감사 결과 요약 (NC/Observation/Strength)
부적합 사례별 근거 및 재발 방지 권고

🎯 심사 대상 조직의 할 일

결과 공유 및 내부 커뮤니케이션
대응 일정 계획 수립!

4️⃣ 후속조치 (Follow-up)

“이 문제, 진짜 고쳤나요?”

실무에서는 이렇게 진행됩니다:

개선계획 수립 및 실행 (CAPA, Corrective Action Plan)
결과 공유 및 이행 증빙 제출
필요시 재심사 (Follow-up Audit)

🔧 실제 후속조치 예시

“보안 교육 이력이 미흡하다” → 교육 이력 시스템 구축
“공급망 위험 평가 문서 미흡” → 평가 절차 재정립

📌 심사관이 재방문하는 경우도 있어요!

특히 NC Level이 높거나 법규 위반 위험이 있는 경우

📊 Audit vs Daily Work

구분	Audit 시 중점	일상 업무 시 포인트
문서	작성은 물론, 이행 여부 중요	실무 편의성 중심
활동	추적성 강조	일정 우선, 품질 유지
협업	역할 간 연계성 강조	부서 내 처리 중심

📝 오늘의 한 줄 요약

Audit은 '보안이 실질적으로 실행되는지'를 확인하는 흐름이다!
프로세스의 흐름을 알면, 대응도 부드러워진다~ 🎶

🔜 다음 강 예고:

6강 – Assessment 프로세스 흐름과 Audit과의 핵심 차이점

Audit과 Assessment, 뭐가 다를까?
심사 vs 분석, 절차와 목적의 결정적 차이!
실무자에게 더 부담되는 건 사실 OO?

🚀 다음 강에서는 Audit과 Assessment의 핵심 차이점을 한 방에 비교해드립니다!

💬 *"Audit을 안다고 해서 Assessment를 아는 건 아니다!"*
다음 시간엔 그것의 진실을 파헤쳐봅시다! 😎